Download - 第八章 網路安全協定
第八章 網路安全協定第八章 網路安全協定
課前指引現今網際網路技術的興起,使得大家愈來愈仰賴 Internet這個應用廣泛的公眾網路。在建立具專屬特質且快速傳輸的虛擬私有網路 (Virtual Private Network, VPN)時,能再透過一些網路的安全機制與技術,使得網路內的資料能夠安全的通訊,在目前正蓬勃發展的 Internet裡,此項需求尤為殷切。本章目的即針對在 VPN中與安全 /鑑定機制相關的結合與運作介紹。
章節大綱
備註:可依進度點選小節
8-1 IPSec
8-2 VPN通訊安全標準 8-5 AH
8-6 ESP
8-3 IPSec的運作 8-4 IPSec的實務操作
8-7 結語
3
IPSec 提供選擇式的通訊模式 傳輸模式 (Transportation Mode) 隧道模式 (Tunnel Mode)IPSec具有特質 服務性 獨立性 來源性與完整性 機密性與鑑定機制 安全性
8-1 IPSec
4
IPSec AH(Authentication Header) ESP(Encapsulation Security Payload) IKE (Internet Key Exchange)
L2TP Asynchronous Transfer Mode (ATM)
PPTP Internet Service Provider (ISP)
8-2 VPN通訊安全標準
5
IP封包方式: 8-3 IPSec的運作
版本編號 … …
來源IP位址
目的IP位址
4位元
總長320位元
128位元128位元
IPv4:
IPv6:
6
傳統 IP 資料封包格式8-3 IPSec的運作
Original IP Header Options (TCP/UDP) Data
(a) IP (IPv4) 傳統 封包的欄位概圖
7
IPv4 Datagram With TCP
8-3 IPSec的運作
IP Datagram Length
TCP Packet Length
IP Header(20 Bytes)
TCP Header(20~60 Bytes)
Data(Variable)
TCP Pack Length
IP Datagram Length
(b) 傳統 IP (IPv4) Datagram With TCP Data
8
基本 TCP Packet format
8-3 IPSec的運作
Source Port Number(16 )位元
Destination Port Number(16 )位元
TCP Option(24 more )位元或
Padding(8 )位元
Data(Variable)
(c) TCP Packet Format基本
TCPHeader(20~60 Bytes)
位元
0 1684 24 31
…
9
IPv4 Datagram With UDP
8-3 IPSec的運作
IP Header(20 Bytes)
UDP Header(8 Bytes)
Data(Variable)
UDP Packet Length
IP Datagram Length
(d) IP ( IPv4) Datagram With UDP Data傳統 或
10
基本 UDP Packet format
8-3 IPSec的運作
Source Port Number(16 )位元
Destination Port Number(16 )位元
…
Data(Variable)
UDPHeader
(8 Bytes)
(e) UDP Packet For mat基本
0 16
位元
11
IPv4 Header 資料格式 8-3 IPSec的運作
位元0 4 8 16 31
Version(4 )位元
Internet Header Length(4 )位元
Type of Service(8 )位元
Total Length(16 )位元
Identification(16 )位元
Flags(3 )位元
Fragments Offsets(13 )位元
Time to Live(8 )位元
Protocol(8 )位元
Checksum(16 )位元
Source Address(32 )位元
Destination Address(32 )位元
Option(Vailable)
Data(Vailable)
IPv4 Header
12
IPv6封包簡圖8-3 IPSec的運作
Original IP Header Extension Header (Optional) Protocol (TCP/UDT)
Data
(a) IPv6 封包簡圖
13
IPv6 Header資料格式8-3 IPSec的運作
Version(4 )位元
Priority(4 )位元
Flow Label(16 )位元
Payload Length(16 )位元
Next Header(8 )位元
Hop Limit(8 )位元
Source Address(128 )位元
Destination Address(128 )位元
0 4 8 16 24
IPv6 Header
位元
14
IPSec傳輸模式與隧道模式 8-3 IPSec的運作
A主機 區域網路 B主機 區域網路
A主機IP
B主機IP
傳送資料
A主機IP
B主機IP
接收資料
GatewayA
GatewayB
GatewayA
GatewayB
A主機IP
B主機IP
相關資料
( )隧道模式
…( )傳輸模式
加密保護
15
IPSec元件傳輸模式隧道模式AHSAESP鑑定機制加 / 解密機制鑑定機制
8-3 IPSec的運作 ( )輸入傳送訊息
VPN
IPSec
傳輸模式 隧道模式
AH ESPSA
鑑定機制 /加解密機制
鑑定機制
DOI
IKE
ISAKMP SKEMIOakley
( )產生密文封包
16
IPSEC中可使用的密碼機制演算法 8-3 IPSec的運作
CBC- 模式
演算法 金鑰選擇( 單位 : 位元 )
一般性金鑰提供( 單位 : 位元 )
金鑰預設值( 單位 : 位元 )
3DES 192 192 192
IDEA 128 128 128
RC-5 40~2040 40,128,160 128
CAST-128 40 ~ 128 40,64,80,128 128
Blowfish 40~448 128 128
17
8-4 IPSec的實務操作
18
8-5 AH
Next Header(8 )位元
Payload Length(8 )位元
Reserved Area(16 )位元
Security Parameter Indey(SPI)(32 )位元
Sequence Number(32 )位元
20: AH圖 資料欄位分佈格式
位元數
0 8 16 31
Authentication Data (Variable)(32 )位元的倍數長度
19
AH的傳輸模式 (IPv4)
8-5 AH
Original IP Header AH TCP/UDP Header Data
22: AH IP ( IPv4 ) Transport 圖 在傳統 或 的 格式
I II III
I + II + III簽章部份
20
AH的傳輸模式 (IPv6)
8-5 AH
Original IP Header Extension Headers ( )可能增加部份 AH TCP/UDP Header Data
23: AH IP ( IPv6 ) Transport 圖 在新式 或 的 格式
I IV
I+II+III+IV簽章部份
II III
21
AH的隧道模式 (IPv4)
8-5 AH
New IP Header AH Original IP Header
TCP/UDP Header Data
25: AH IP ( IPv4) Tunnel 圖 在傳統 或 的 格式
IV
I+II+III+IV簽章部份
I II II
22
AH的隧道模式 (IPv6)
8-5 AH
New IP Header
(New IP)Extension Headers
( )可能增加
AH Original IP Header
(Original IP)Extension Headers( )可能增加部份
TCP/UDPHeader Data
26: AH IP ( IPv6) Tunnel 圖 在新式 或 的 格式
I+II+III+IV+V+V簽章部份
V VI V IV II III
23
8-6 ESP
Security Parameter Index (32 )位元
Security Number (32 )位元
Payload Data (Variable)
Padding (0-255 *8 )位元
Pad Length Next Header
Authentication Data (Variable)
0 8 16 24 31
27: ESP 圖 資料分佈格式
ESP Header
ESP Trailer
ESP Authentication
位元數
24
ESP傳輸模式 (IPv4)8-6 ESP
Original IP Header ESP Header TCP/UDP
Header Data ESP Trailer ESP (S)Autheutication
29: ESP IP ( IPv4 ) Transport 圖 在傳統 或 的 格式
S簽章部份
加密保護部份
25
ESP傳輸模式 (IPv6)8-6 ESP
Original IP Header
Extension Headers
( )可能增加ESP Header TCP/UDP
Header Data ESP TrailerESP
Authentication(S)
30: ESP IP ( IPv6 ) Transport 圖 在新式 或 的 格式
(S)簽章部份
加密保護部份
Payload
26
ESP傳輸模式資料封包ESP+AH組合 8-6 ESP
27
ESP隧道模式 (IPv4)
8-6 ESP
New IP Header ESP Header Original IP Header
TCP/UDPHeader Data ESP Trailer
ESP Authentication
(S)
33: ESP IP ( IPv4 ) Tunnel 圖 在傳統 或 的 格式
(S)簽章部份
加密保護部份
28
ESP隧道模式 (IPv6)
8-6 ESP
New IP Header
(New IP)Extention Headers
( )可能增加
ESP Header
Original IP
Header
(Original IP)Extension Headers
( )可能增加
TCP/UDP
HeaderData ESP
TrailerESP
Authentication(S)
34: ESP IP ( IPv6 ) Tunnel 圖 在新式 或 的 格式
Payload
(S)簽章部份
加密保護部份
29
ESP隧道模式資料封包ESP+AH組合 8-6 ESP
30
VPN通訊安全標準 IPSec :傳輸模式:傳輸模式的定位上,封包的加密與解密為實際通訊的送收雙方直接進行。 隧道模式:封包的安全機制處理是以網路閘道為主要的運作環境,用來強調網路聯結節點的安全性。
AH 、 ESP :使用皆可依需求來使用傳輸模式與隧道模式。 L2TP PPTP
8-6 ESP
31
VPN具有在節省通訊成本、易擴充性、彈性度高、設備需求精簡、裝置容易等幾項特質。業界常用的 VPN通訊安全標準,可分三種,分別為 IPSec、 L2TP與 PPTP,其中IPSec為目前主要的通訊安全標準。 IPSec版本在密碼安全機制方面,分別採用了對稱式密碼系統、公開金鑰密碼系統與 HASH函數來達到資料保密、金鑰管理與資料完整性的目的。
8-7 結語
32
Q&A討論時間
本章結束